Linux系统安全笔记
Linux系统安全笔记
https://insecure.org/
https://sectools.org/
SecTools.Org:排名前125的网络安全工具
http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-desktop/l-harden-desktop-pdf.pdf
增强 Linux 桌面安全性
https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/index.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/l-harden-server-pdf.pdf
增强 Linux 服务器
-----恶意软件有哪些---------------------------------
https://en.wikipedia.org/wiki/Linux_malware
Malware(恶意软件)是 malicious software 的简称。
任何以破坏计算机系统或网络为目的的程序都是恶意软件。
1 Botnets 僵尸网络;
2 Ransomware 勒索软件;
3 Rootkits;
4 Trojan 木马;
5 Virus 病毒;
6 Worms 蠕虫;
7 Spyware 间谍程序等.
-----防范及检测软件-----------------------------------
ClamAV® is an open source antivirus engine for detecting trojans, viruses, malware & other malicious threats
ClamAV 是一种开源防病毒引擎,用于检测特洛伊木马,病毒,恶意软件和其他恶意威胁
https://www.clamav.net/
The latest stable release is 0.101.0; 2018-12-03 15:59:09 UTC
rkhunter
http://rkhunter.sourceforge.net/
Rootkit Hunter release 1.4.6 (February 20th 2018)
http://www.chkrootkit.org/
chkrootkit 0.52现已推出!(发布日期:2017年3月15日)
chrootkit 是一个在本地检查rootkit标志的工具。它包含:
chkrootkit:shell脚本,用于检查系统二进制文件以进行rootkit修改。
ifpromisc.c:检查接口是否处于混杂模式。
chklastlog.c:检查l astlog删除。
chkwtmp.c:检查wtmp删除。
check_wtmpx.c:检查wtmpx删除。(仅限Solaris)
chkproc.c:检查LKM特洛伊木马的迹象。
chkdirs.c:检查LKM特洛伊木马的迹象。
strings.c:快速和脏字符串替换。
chkutmp.c:检查utmp删除。
大多数反病毒软件不能与其他反病毒程序同时运行,但是 rootkit hunters 却可以。为了得到更全面
的保护,可以安装 chkrootkit,并让它与 rkhunter 一起运行。
-----防病毒软件的安装和使用---------------------------------
https://www.clamav.net/downloads
安装ClamAV:
apt-get install clamav
apt-get install clamav-daemon
如果您需要支持扫描压缩的RAR文件,首先需要启用非自由存档,然后您可以使用以下命令安装RAR插件:
apt-get install libclamunrar6
sudo freshclam //更新病毒定义
sudo freshclam -v //查看是否有新的定义
如果更新时提示如下,说明自动运行并在后台运行
freshclam.log is locked by another process
您可以使用该lsof命令找出正在使用该文件的进程,在您运行的情况下运行:
sudo lsof /var/log/clamav/freshclam.log
如果要停止守护程序并手动运行它:
sudo systemctl stop clamav-freshclam.service
手动运行:
sudo freshclam
clamscan //对主文件夹的手动扫描,并报告有多少目录和文件被扫描。它还会告诉您发现
了多少被感染的文件。
clamdscan //
sudo apt-get install ClamTK //用于 ClamAV 的 GUI
apt-cache show clamtk
要打开 ClamTK,按下 Alt-F2,输入 gksu clamtk,然后单击 Run。这样将以让程序运行所需的权限
启动 ClamACV GUI。
freshclam --datadir=/var/lib/clama/ #指定目录,这是默认目录。
sudo pkill -15 -x freshclam
然后手动运行:
sudo freshclam
但是在这种情况下,您可以使用:
sudo systemctl stop clamav-freshclam.service
停止守护进程。
sudo /etc/init.d/clamav-freshclam stop
sudo freshclam
sudo /etc/init.d/clamav-freshclam start
sudo service clamav-freshclam stop
sudo freshclam
sudo service clamav-freshclam start
sudo service clamav-freshclam status
https://askubuntu.com/questions/909273/clamav-error-var-log-clamav-freshclam-log-is-locked-by-another-process
can't download main.cvd from db.local.clamav.net
如果更新失败,可以手动下载病毒库:
http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd
http://database.clamav.net/bytecode.cvd
https://blog.csdn.net/zourzh123/article/details/45719757
clamav的病毒库可以在安装后配置自动升级,也可以按如下方法手动获取:
http://db.cn.clamav.net/daily.cvd
http://db.cn.clamav.net/main.cvd
http://db.cn.clamav.net/safebrowsing.cvd
http://db.cn.clamav.net/bytecode.cvd
---------------------
sigtool的用法
下载的病毒库cvd是由zlib压缩库压缩的文件,前512个bytes是一个特殊的头文件,记录引擎病毒库的简单信息,包括名字、创建时间、版本号、签名数量等,然后一个接
着一个存储病毒库文件。
clamav提供了一个签名工具sigtool,可以查看、生成和解压缩病毒库,在clamav的运行代码中会通过cli_untgz函数解压缩cvd文件,可以通读代码了解详细过程。
1
sigtool -i main.cvd //sigtool查看cvd的信息
sigtool -u main.cvd //sigtool解压缩main.cvd
-----
1. 将如上地址下载的*.cvd文件放到例如:/home/tom/cvd/ 目录下;
2. 在该目录下执行如下命令:(需要安装python,也可使用其他web服务)
python -m SimpleHTTPServer #默认端口为8000
python -m SimpleHTTPServer 80 #指定端口为80
浏览器打开地址:127.0.0.1:8000 应该能看到你下载的cvd文件列表
3. 修改freshclam.conf配置文件
PrivateMirror 127.0.0.1
ScriptedUpdates no
https://www.clamav.net/documents/private-local-mirrors
----------------------------------
sudo apt-get install rkhunter
sudo rkhunter --check //然后按下 Enter 开始扫描
sudo rkhunter --update //Enter,然后输入密码。更新rkhunter版本
扫描可能被安装到桌面上的已知的恶意软件
扫描计算机上常用于后门访问的端口
扫描 startup 文件、组和账户、系统配置文件和文件系统
检查计算机上的应用程序。
---------------------------
sudo apt-get install chkrootkit
sudo chkrootkit //Enter。chkrootkit 立即开始扫描已知的漏洞和恶意软件
如果 rkhunter 或 chkrootkit 发现异常,它们会通知您,但是这些程序不会从计算机中删除文件。
如果该程序向您发出警告,那么可以搜索被报告的漏洞或恶意软件。
首先,确保发现的东西不是误报。
然后,确定采取什么必要的步骤来消除桌面受到的威胁。
有时候,只需更新操作系统或其他软件。
而在某些时候,必须找到恶意的程序,并将它从系统中删除。
------------------------------
Linux系统安全笔记的更多相关文章
- Linux系统学习笔记:文件I/O
Linux支持C语言中的标准I/O函数,同时它还提供了一套SUS标准的I/O库函数.和标准I/O不同,UNIX的I/O函数是不带缓冲的,即每个读写都调用内核中的一个系统调用.本篇总结UNIX的I/O并 ...
- Linux系统学习笔记(1)
学习地址:http://www.runoob.com/linux/linux-tutorial.html 1.学习Windows和Linux哪个比较难? 前期是Windows容易学习,后期是Linux ...
- linux系统学习笔记:无死角理解保存的设置用户ID,设置用户ID位,有效用户ID,实际用户ID
一.基本概念 实际用户ID(RUID):用于标识一个系统中用户是谁,一般是在登录之后,就被唯一的确定,就是登录的用户的uid. 有效用户ID(EUID):用于系统决定用户对系统资源的权限,也就是说当用 ...
- Linux系统学习笔记:文件描述符标志
文件描述符标志的概念 文件描述符标志(目前就只有一个close-on-exec): 它仅仅是一个标志,当进程fork一个子进程的时候,在子进程中调用了exec函数时就用到了这个标志.意义是执行exec ...
- Linux 系统裁剪笔记 3
说到裁减Linux,无非是为了减小磁盘占用或者是为了某些特定场合的应用(如嵌入式系统).以RedHat 7.3为例,其最小安装仍然达到了300M,这不得不让人对一直号称小而全的Linux系统感到疑惑. ...
- Linux 系统裁剪笔记 软盘2
第一步:裁减内核打开终端,输入:cd /usr/src/linux2.4,然后输入make xconfig.现在编译内核正式开始了1.1 "code maturity level optio ...
- Linux 系统裁剪笔记1
1.什么裁剪? 本篇文章的主要目的是让笔者和读者更深的认识Linux系统的运作方式,大致内容就是把Linux拆开自己一个个组件来组装,然后完成一个微型的Linux系统.下面,让我们来实现吧..写的不好 ...
- 1.linux系统基础笔记(互斥量、信号量)
操作系统是很多人每天必须打交道的东西,因为在你打开电脑的一刹那,随着bios自检结束,你的windows系统已经开始运行了.如果问大家操作系统是什么?可能有的人会说操作系统就是windows,就是那些 ...
- Linux系统学习笔记
6.启动python cd /root/yq/v4_1_6309a_btc_nw_cq nohup python3 -u v4_1_6309a_btc_nw_cq.py >> 6309a_ ...
随机推荐
- MySQL(一) 初识MySQL
数据库基础 数据库是由一批数据构成的有序的集合,这些数据被存放在结构化的数据表里.数据表之间相互联系,反映了客观事物间的本质联系.数据库系统提供对数据的安全控制和完整性控制. 什么是数据库 数据库的发 ...
- AI工具5.13
如果想选中上面的很多图形,可以锁定不需要选择的下面的图形.选择需要锁定的对象.“对象”“锁定”“所选对象” “对象”“变换”“再次变换”快捷键“ctrl=d"一般前面有其他操作如“移动”“复 ...
- 分布式锁与实现(一)基于Redis实现
目前几乎很多大型网站及应用都是分布式部署的,分布式场景中的数据一致性问题一直是一个比较重要的话题.分布式的CAP理论告诉我们“任何一个分布式系统都无法同时满足一致性(Consistency).可用性( ...
- java将字符串根据空格进行分割,使用split方法
public class D { public static void main(String[] args) { String b = "Hello Java World"; S ...
- bootstrap学习参考网站
----https://www. evget .com /article /
- TensorFlow学习笔记——节点(constant、placeholder、Variable)
一. constant(常量) constant是TensorFlow的常量节点,通过constant方法创建,其是计算图(Computational Graph)中的起始节点,是传入数据. 创建方式 ...
- SignalR 开始聊天室之旅
首先明确需求,我现在有很多个直播间,每个直播间内需要存在一个聊天室,每个聊天室内可以存在很多人聊天,当然,只有登陆系统的会员才能聊天,没有登陆的,干看着吧! 根据以上需求,可以做出三个简单的页面:登陆 ...
- 运算类实现 及 GNU Makefile基本结构
1.运算类的实现,代码如下: (1)operator.cpp #include<iostream> #include "operator.h" using names ...
- DevExpress WinForms v18.2新版亮点(三)
行业领先的.NET界面控件2018年第二次重大更新——DevExpress v18.2日前正式发布,本站将以连载的形式为大家介绍各版本新增内容.本文将介绍了DevExpress WinForms v1 ...
- how to istall virtualbox on centos
https://tecadmin.net/install-oracle-virtualbox-on-centos-redhat-and-fedora/